NEN 7510
De NEN 7510 blijft ook onder de AVG een belangrijke norm voor informatiebeveiliging in de zorg. Want hoewel de NEN 7510 niet letterlijk in de AVG genoemd staat, blijven beveiligingsstandaarden belangrijk. Net zoals dat onder de huidige regels het geval is. Op dit moment geldt bijvoorbeeld dat je aan de NEN 7510 moet voldoen als je in de zorg het burgerservicenummer (BSN) verwerkt.
Daarnaast staat in de huidige beleidsregels Beveiliging van persoonsgegevens van de Autoriteit Persoonsgegevens (AP) dat verantwoordelijken de beveiligingsstandaarden moeten volgen. Als voorbeeld van zo’n standaard noemt de AP de NEN 7510.
Is onder de AVG een NEN7510-certificaat verplicht voor zorgaanbieders?
Sinds mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing in de Europese Unie (EU). Ondanks dat certificering voor NEN 7510 op grond van de AVG niet verplicht is, blijft de NEN 7510 een belangrijke norm voor informatiebeveiliging in de zorg. Daarnaast noemt de Autoriteit Persoonsgegevens (AP) de NEN 7510 al sinds 2013 een gangbare standaard voor passende (organisatorische) beveiliging. Kortom, beveiligingsnormen (zoals de NEN 7510) blijven in de zorgsector belangrijk. Op grond van het Besluit elektronische gegevensverwerking door zorgaanbieders (Begz) is de zorgaanbieder ook verplicht om bij het gebruik van een zorginformatiesysteem of elektronisch uitwisselingssysteem te voldoen aan de genoemde NEN-normen.
Verantwoordingsplicht
Hoewel een NEN 7510-certificaat niet verplicht is onder de AVG, hebben verwerkingsverantwoordelijken wel een verantwoordingsplicht. Dat betekent dat je (op grond van de AVG) moeten kunnen aantonen dat je voldoende maatregelen hebt genomen om persoonsgegevens te beveiligen.